手机取证论文

《手机取证论文》由会员分享，可在线阅读，更多相关《手机取证论文（14页珍藏版）》请在装配图网上搜索。

1、手机取证技术研究李健摘要：手机在犯罪的过程中出现的频率越来越高了,对手机的取证也显得越来越重要。 本文简述手机取证的概念、原则、特征，对目前手机取证在当前侦查取证中的现状进行介绍， 同时，根据手机取证的取证源详细介绍手机取证的方法，详细介绍一些常用的手机取证工具 软件的特点和适用情况以便于侦查人员的实际选择与应用，介绍当前主流的手机系统 Android和苹果iOS的分析方法和取证的注意事项，另外，对手机用户提供一些保护手机的 建议，最后对手机取证的研究及应用前景进行展望。关键词：手机取证；取证方法；取证工具；对比实验 随着当今社会移动通信技术的飞速发展，手机已经走进千家万户，据工信部 统计，截

2、止2014年 1月，我国使用手机的的人数已达12.53 亿，用户数占全国 人口的 90.8%，可以说手机已经成为人们日常联系的必备工具。然而，伴随着手 机业迅猛发展和手机功能不断强大的同时，利用手机进行违法犯罪的案件牵涉到 手机的违法犯罪案件的比例逐年升高，对于公安机关办案，通过手机提取线索、 证据也逐渐成为一种非常有效和重要的侦查手段。因此，侦查人员系统的认识手 机取证，掌握手机取证的基本方法，了解一些常见的手机取证工具软件，从而打 击与手机相关的各类犯罪活动，对于维护社会稳定、保障人民生命财产安全、打 击犯罪行为具有重大现实意义。一、手机取证的概念、原则、特征（一）手机取证的概念手机取证是

3、数字取证中的一种，所谓手机取证就是对存在于手机SIM 卡、手机内存卡、外置存储卡、短信服务提供商系统和移动网络 运营商保存的电子证据进行提取、保存、分析 ,整理出有价值的案件 线索或能被法庭所采纳的证据的过程。（二）手机取证的原则1. 合法原则手机取证的合法原则和传统取证一样，所谓合法主要包括以下四 种：（1）参与侦查取证的人员必须要有法定的权限和资格；（2）取证 过程中的程序和手段必须规范；（3）取证所采用的工具也必须符合法 律规定；（4）获取到的证据信息要以合法形式运用到司法程序中。对 于各国都普遍适用的判断电子证据是否合法有效的标准，联合国电 子商务示范法第九条第二款之规定规定提供了指导

4、性原则。该指导 原则强调审查电子证据获取、存储、传输、保存方法的可靠性和发送 人身份的确定。手机取证作为电子证据的取证方式的一种毫无疑问的 适用此项原则。手机取证的目的是把从手机中获取的电子数据进行分 析整理，从而可以作为符合法律规定的证据使用。因此，手机取证的 合法性原则是进行手机取证的前提。如果没有在取证的过程中就意识 到其合法性，就极可能造成花费了大量的精力和财力获取的案件信 息、线索不能作为合法证据使用，从而使本来就不足的基层警力更加 紧张。2. 客观原则 手机取证的客观性亦是与传统取证基本相同的，具体而言，客观 性包括真实性和全面完整性。其中，真实性是指获取的证据是客观存 在的、有正

5、确来源的事实，并且它是不以人们的主观意志的改变发生 变化的客观存在。这就要求侦查取证人员有较高的职业和道德修养， 做到以事实为依据，以法律为准绳，绝不歪曲事实。全面完整性是指 能够完全的反映出侦查取证人员第一次接触到涉案手机时手机所处 的状态及属性。这就要求侦查取证人员必须具有专业的计算机网络与 安全及通信知识，同时还应当熟悉相关法律知识。除此之外，侦查取 证人员还应当注重细节，争取做到一丝不苟。从而确保证据不会因为 侦查人员的知识不足或者操作失误而不能真实的反映出来。3. 及时原则及时取证是手机取证的必要原则。手机取证获取的证据作为电子 证据的一种，具有天然的脆弱性。如果不及时取证，稍有不慎

6、就易造 成其被破坏，修改，甚至删除，从而导致获取的手机电子信息的失去 有效性。对于侦查取证人员，应当注意避免以下几点来遵循手机取证 的及时原则：（1）手机保存的数据具有天然的脆弱性，很容易因为外 界高磁场、高温、静电等环境的改变而破坏；（2）手机的状态是在时 刻变化着的，多数手机的内存容量较小。一些实时产生的相关信息， 系统日志、相关的系统进程，会占据大量内存，进而覆盖原来的信息， 导致原来存在的潜在的电子电子证据不能恢复；（3）众所周知，一台 手机的电量也是十分有限的，如果没有及时对手机及时分析取证，又 没有及时充电，导致手机电量消耗完后关机，很有可能引起的数据丢 失；（4）网络供应商处的某

7、些手机用户数据是周期性更新的，有些手 机用户对手机的系统及手机中的软件的设置也是自动更新的。（三）手机取证的特点 手机取证是电子证据的一部分，作为一项新型取证手段，在实际 应用中，参照证据学中物证鉴定的原理、方法和程序。其与计算机取 证有很多相似之处，可以说，手机取证是在计算机取证的基础上发展 起来的。随着手机取证业务量的增大，迫切需要对于这一领域进行专 门研究，以适应社会发展的需要，提高手机取证的效率。与计算机取 证相比，手机取证也有着其自身的取证特点，主要表现在：1.监管难 度大：手机是一种移动终端设备，手机的移动性特点使得手机很难得 到随时监管；2.涉及范围广：手机品牌和手机操作系统多样

8、性以及不 断升级，存储卡种目繁多，使得手机取证的范围较大 ；3.数据不易 存储：文件系统存在于具有非易失性的存储设备中，数据规范不统一；4. 取证技术滞后性：手机信息技术更新换代快，产品周期短，使手机 取证技术和工具软件不能完全适应一些新的手机产品。二、手机取证的现状近年来，根据公安机关办理的案件来看，牵涉到手机的违法犯罪 案件的比率日益明显上升，通过手机获取案件线索、证据也逐渐成为 侦查人员侦查取证不可获取的一种侦查手段。随着手机技术的发展和 手机功能的日益强大，牵涉到手机的违法犯罪行为的范围也愈发广泛 目前，与手机有关的违法犯罪行为大致有三种情形：第一，用手机充 当违法犯罪活动的通信联络工

9、具（如与同伙交流的短信、通话记录、 即时通讯软件记录的文字、语音、影像等）；第二，把手机用作存储 犯罪证据（如文档、照片、视频等）的媒介；第三，直接把手机作为 实施犯罪活动的工具（如盗窃手机、短信诈骗、窃取支付宝和传播恶 意软件等）。虽然，牵涉到手机的案件的发案率近年来日益增多，但 是破案率却不是特别理想。原因主要有四种：一是基层侦查取证人员 利用手机进行取证的意识不高；二是基层侦查取证人员缺乏进行手机 取证的相关技术方法；三是当前的手机取证的软件工具大多或多或少 还存在缺陷且价格比较昂贵；四是与手机取证相关的法律法规不健 全，使手机取证难以得到法律的支持与保障。因此，手机取证技术应 当引起相

10、关侦查人员、研发人员、立法部门以及手机用户的足够重视。三、手机取证源及对应取证方法目前来看，手机的取证源有用户识别卡、内置存储卡、外置存 储卡和手机移动网络运营商业务数据库四种。从这四个方面我们可以 获取手机的品牌、型号、电子串号、电话簿、已拨电话、已接电话、 未接电话、发送及接收短信的电话号码和内容、照片、视频、录音、 日历中的安排等信息，这些信息就成了潜在的电子证据。众所周知， 近几年智能手机的发展非常迅速，根据2013-2014 年中国手机市场 研究年度报告，全球市场研究公司 Gartner 数据显示，2013 年全球 智能手机销量接近 10 亿部，占整个手机市场销量的比例超过 50%。

11、 手机的功能的强大使得逐渐具备电脑很多功能，可以利用手机上网、 聊天、购物、转账等活动，由于手机相对于电脑的方便性，使得这些 活动呈现出一种趋势。因此，对第三方软件中的账户信息、聊天记录 （包括语音）、操作使用记录的提取对侦查工作也非常重要。（一）用户识别卡及取证方法每台手机都有用户识别卡，也称SIM, SIM卡是数字移动电话的 资料卡。SIM卡本身就具有证据价值，卡面上通常印有网络服务 商名称和惟一识别号，通过后者可以从服务商那里获得SIM卡 用户资料，如姓名和地址等信息。此外，存储容量一般在864K的 SIM卡，虽然容量相对有限，但其中包含着大量有价值的潜在电子数据，主要有：1、SIM 卡

12、生产厂商存储的产品原始数据；2、手机存储的固有信息，如手机串号IMSI、密钥、PIN、个人解锁 号PUK、各种鉴权和加密信息，加密密钥算法和其他用户信息；3、最近一次位置登记时手机所处位置识别号、设置的周期性位置更 新间隔时间、使用SIM过程中的临时移动用户号等；4、用户使用手机所存储的个人数据，如用户存储的电话号码，短（彩） 消息（包括一些被删除的信息），最近的通话记录以及行程表；5、SIM中的一些密码，包括SIM卡个人身份识别码（PIN）和解开 锁定用的个人解锁码（PUK ）等相关手机参数。手机 SIM 卡是一种标准的智能卡，它不像手机有很多品牌、型 号和系统，因此，取证起来所要获取的信息

13、很明确。如今常用的对手 机 SIM 卡进行取证有两种方法。一个是通过智能读卡器的设备来提 取 SIM 卡中的数据。在此方法中读卡器只要使用符合欧洲电信标准 协会TS31. 10和TS51. 011标准的数据访问指令集就可获取SIM卡中 的数据。另外一种方法是直接通过指令操作来获得S IM卡中的数据。 在GSM手机的TS27. 007标准中特别定义了一个指令集来访问SIM 卡上的数据。在一般情况下，可以用一些工具软件包来获取数据，常 见的有商业软件 SIMCon,ForensicSIM,SIM-Manager 等。（二）手机内存及取证方法手机本身有容量比 SIM 大的内置存储卡，其中存储着大量的

14、信 息，这些信息在不同系统、不同型号的手机中的格式可能也存在差异， 随着手机功能的增强，手机内置的存储芯片容量呈现不断扩充的趋 势。存储在手机内置存储卡中的信息主要有：1. 手机识别号：即GSM手机的IMEI, CDMA手机的ESN；2. 手机通讯录；3. 发送、收到或编辑存储的短信和MMS （多媒体信息服务）信息；4. 声音、图像、影像视频；5. APP软件安装包；6. 拨出、接收或未接收电话的记录；7. 日历中的日程安排信息；8. 被存储的可执行文件；9. GPRS、WAP和Internet的设置信息以及上网的历史记录和缓存记 录。粱件系统碱如库文I !杵和配置丈件I i:段作杀统和战乓星

15、序产牛II的旬以忡I静奋心储区:网惑存棒区1图1手机内存结构图手机内存根据存储数据的差异可分为动态存储区和静态存 储区两部分（见图1）。动态存储区中主要存储执行操作系统指令和 用户应用程序时产生的临时数据，而静态存储区保存着操作系统、各 种配置数据以及一些用户个人数据。因此，对于取证而言，静态存储 区的数据更具有价值。从手机内存中提取数据相对比较复杂。一般利 用手机操作系统或者手机制造商提供的接口软件来读取手机内存中 的数据，这很有可能造成数据的破坏，并且，被删除的数据也不能被 恢复出来。最好的方法就是镜像备份手机内存的数据，然而，目前还 没有这样的工具。目前有两种通过物理途径获取其中数据的方

16、法：一 是通过拆解手机获取内存芯片 ,进而使用专门的芯片读取设备来获 得其数据镜像，但这样很可能会毁坏手机；另一种是使用专门的数据 线与手机系统主板连接 , 从中读取内存芯片的数据信息。这些方法 虽可获取手机中的最原始数据，减少外界因素对取证数据的干扰 ,但 对侦查取证人员的手机硬件知识的要求很高。（三）外置存储卡及取证方法 随着手机功能的逐步增强，特别是近几年智能手机的迅速发展， 用户对手机容量的要求越来越大。当前，用户多使用闪存卡来弥补手 机自身内存的不足。常见的外置存储卡有Micro SD卡和mini SD卡。 一般用来存储MMS消息、APP软件安装包、文本文件、图片、音乐 文件、声音、

17、影像视频等。对于外置存储卡（如闪存卡），一般采用FAT32或者Ext2/3文件 系统， EnCase 可以正确解析。因此，可使用诸如 Encase 的取证软件 工具来获取存储卡上的数据镜像。（四）移动网络运营商及取证方法 移动网络运营商的数据库中存储着大量的数据信息，其主要包括，这些都是潜在的证据信息。随着“手机实名制”的不断完善，在 依法履行职务、手续合法情况下，可以从移动网络运营商处获取用户 的通话记录数据信息和用户注册信息，这些信息主要从移动网络运营 商的与用户注册信息数据库中获取：1.用户注册信息数据库：用户姓名、身份证号码、性别、家庭住址、手机号码、SIM卡号及其PIN和PUK、IM

18、SI号和所开通的服务信息2.通话记录数据库：主/被叫用户的手机号码、主/被叫手机的IMEI号、通话时长、服务 类型和通话过程中起始端与终止端网络服务基站信息在内的记录信 息。调查取证人员通过法律程序，与移动网络运营商联系，根据 SIM 卡所注册的手机号码通话记录数据库进行数据的过滤和搜索，不管手 机是否处于被使用状态，都可以数据库中完整的获取用户的通话记录 数据信息，从而得到此号码的所有通话记录与短消息记录。在有些案 件中，对手机进行定位从而锁定违法犯罪嫌疑人十分重要，运用 BTS 信息，可以精确的定位到用户任何时刻的地理位置。手机在非正常关 机时，即便是导致HLR无法注销，在技术手段的支持下

19、，也能通过 用户跟踪或定位服务，找到其所在位置。另外，在现行的“手机实名 制 ”的制度下 , 侦查取证人员还可以方便地对用户注册信息数据库 中的相关数据和居民身份证系统数据库中的数据进行比对分析。四、常见不同手机系统的取证特点（一）Android手机系统Android 手机系统的市场占有率可谓独占鳌头，作为当前的主流手 机操作系统，从手机取证的角度来看，对其进行相关方面的研究很有 现实意义。1. 针对 Android 手机系统的取证分析（1）电话本信息电话本信息存储在/data/data/com.android.providers.contacts/databases里面的 contacts2

20、.db 文件中。（2）通话记录信息/data/data/com.android.providers.contacts/databases 里面的 contacts2.db 数据库文件中存在通话记录信息，包括通话联系人，接打电话的，未 接电话，甚至可以准确的查看接通时间以及通话时间长短。（3）短信息短信息可以从/data/data/com.android.providers.telephony/databases 里面的 mmssms.db 文件中获取，除此之外，还可以得到短信方号码、发 送或者接收时间、短信类型（发送、接受）和短信的内容等。（4）多媒体信息多媒体信息是在 /data/data/

21、com.android.providers.media/databases 里面 做了个链接文件external-f6f21cel.db,实际是存储到了 SD卡中了，打 开该文件可清晰的看到，其中手机录音也存储在这个文件中。（5）浏览的网页信息浏览网页信息存储在/data/data/com.android.browser/databases 里面的 browser.db 文件中。（6）第三方软件信息2. Android 手机系统取证的注意事项（1）保证手机电量，切忌因电量不足意外关机。可以准备手机电源线， 及时对手机进行充电；采用 Android 系统的手机有些数据在删除后并 不会立即清除，只

22、有在下次重启以后，才会被完全清除掉，这是因为 Android 系统手机在数据处理上与传统手机存在差异。所以说，在 Android 系统手机取证的过程中，保证充足的电量是十分必要的。(2) 将手机设置为飞行模式，防止取证过程中有电话打入或短信接收， 造成手机原始数据的破坏。(3) 无线网连接需断开，因为如果手机在取证过程中连上网络，也可 能造成数据破坏。(4) 首先对手机 SD 卡和内存的原始数据进行备份，然后再开始分析 备份好的数据。(5) 成功备份手机内存数据后，可以单独分析SIM卡和SD卡中的数 据。根据2013-2014 年中国手机市场研究年度报告，当前，手机市 场特别是对于如中国、印度

23、等发展中国家的市场，可谓是异常火爆。 众所周知，手机操作系统以 Android 和苹果 iOS 为主。其中， Android 以 80%左右的关注度独占鳌头，苹果 iOS 以 10% 左右的关注度稳居 第二。不同的手机操作系统的取证方式也有很多差异，针对手机系统 的市场占有率，将介绍对Android和苹果iOS这两种主流手机操作系 统的取证分析，以及取证时应当注意的一些事项。（二）苹果 iOS 手机系统Iphone手机作为手机用户最喜爱的手机之一,其采用的苹果iOS 手机系统是市场占有率仅次于Android手机系统的第二大手机操作系 统。不仅如此，Iphone手机的用户也呈现日益增长趋势，特别

24、是对于 当代年轻人，在经济条件允许的情况下，更偏向于选择Iphone手机。 因此，把苹果iOS手机系统作为手机取证研究的重要对象对获取案件 信息是很有价值的。1.针对苹果 iOS 手机系统的取证分析（1）电话本信息电 话 本 中 记 录 着 手 机 的 联 系 人 信 息 ， 存 在 于 “Library/AddressBook”路径中，其包含 AddressBook.sqlitedb（联系 人数据库）和AddressBooklmages.sqlitedb （联系人头像数据库）。（2）通话记录信息Iphone手机的通话记录位于路径“ Library/Call History”下。（ 3 ）短信

25、息（ 4 ）地图信息除了自己安装的第三方软件外，Iphone手机一般使用手机自带 的Google地图，我们可以在“Library/Maps”下查看地图信息，在其 属性文件 History.plist 中有搜索信息的历史记录。（5）Safari 浏览器信息Safari 浏览器类似其它浏览器，会存储浏览网络留下的历史记 录，这些历史记录信息存在于“ Library/Safari ”下，其中，我们可以 从文件History.plist中查看提取曾经访问过的URL、站点名称、访问 次数、最后访问的时间等信息。（6）第三方软件信息2.苹果 iOS 手机系统取证的注意事项五、对两种手机取证设备的实验对比当

26、前，对的手机取证设备的应用已经越来越普遍，市面上的手机 取证设备可谓是五花八门。不同的取证设备适用的手机的品牌、型号、 系统等也不尽相同，除此之外，其还有各自不同的特点，能够实现的 功能不同。因此，只有在实际操作使用过程中才能真切体验到各自能 实现的取证目的。下面我将对比性的通过使用两种手机取证设备进行 实验，记录实验过程。六、如何保护自己手机（预防手机病毒以及隐私泄露）七、总结 本文介绍了一些常用的手机取证方法和两大系统的取证分析特 点，另外，学以致用，在指导老师帮助下，通过对两种手机取证 设备的实验对比，更真切的体会手机取证，从实践上更好的了解 了手机取证的过程。作为一名即将步入公安队伍的

27、预备警官，更 要利用有限时间学好手机取证技术，以便一个完整的证据，达到 取证的目的，有效的完成取证工作。针对出现的问题，必须有效 的去解决，唯有这样才能做好个人的职责，打击手机犯罪现象。本文介绍了一些常用的取证方法和常见的手机取证软件， 在打击手机犯罪，提供犯罪证据方面做出了很大贡献，但是，当前的 取证软件很难确保取证数据的完整一致性，至今也没有完全统一、有 效的手机取证技术标准和规范来对不同品牌、型号和操作系统 的手机进行取证。未来的手机取证发展方向：一是取证专家和手机生产商一起制定出统一的手机取证技术规范和标准；二是加强对高效率、高准 确度的手机取证工具和软件的开发。三是加强手机犯罪立法工作，大 力宣传手机犯罪活动的危害。